文章編號: 812953 - 上次校閱: 2006年10月30日 - 版次: 2.3

如何使用網路監視器擷取網路資料傳輸

中英文對照顯示按一下這裡顯示機器翻譯的中英文對照
機器翻譯檢視機器翻譯免責聲明
檢視此文章適用的產品。
系統提示本文適用於您使用的作業系統之外的作業系統。與您不相關的文章內容已停用。
注意事項
這份文件適用於 Windows 2000。Windows 2000 支援的結束 2010 7 月 13,Windows 2000 End-of-Support Solution Center (http://support.microsoft.com/?scid=http%3a%2f%2fsupport.microsoft.com%2fwin2000) 是規劃您的遷移策略,從 Windows 2000 的起點。如需詳細資訊請參閱 Microsoft Support Lifecycle Policy (http://support.microsoft.com/lifecycle/) ]。

在此頁中

全部展開 | 全部摺疊

結論

本文將告訴您使用 Microsoft 網路監視器 (Netmon.exe) 擷取網路資料傳輸時所使用的幾個最佳作法。

具有下列性質的任何一個網路追蹤可能會防止成功擷取到的網路流量分析:
  • 網路追蹤不包含所有必要的網路流量。
  • 它包含太多不必要的網路流量。
  • 它不被伴隨的受影響的電腦的電腦名稱和地址資訊。
回此頁最上方

定義

本文中使用下列定義:
  • 擷取(或 追蹤): 的網路流量收集並儲存藉由使用 Microsoft 網路監視器 (Netmon.exe)。
  • 監視器的電腦: 執行網路監視器 」 的電腦。
  • 目標電腦: 其網路流量 Netmon.exe A 電腦擷取。
  • 目標地址: 目標電腦的特定通訊協定位址。
回此頁最上方

讓監視器電腦可以使用目標電腦的流量

如果您不在目標電腦上執行網路監視器,請確定從目標電腦的所有網路流量可監視電腦的網路介面卡。如果要這樣做在乙太網路環境,監視電腦和目標電腦連接到網路集線器。如果監視器] 和 [目標電腦都在切換式網路上 (它們的連接,例如到乙太網路交換器)、 所有網路都流量來並且從目標電腦可能無法使用到監視器的電腦。

附註通常,集線器介紹到所有的網路介面 (或連接埠) 的所有網路封包,並切換控制都提出到預定的連接埠的所有封包。更複雜的參數可能會允許多點傳送封包篩選的選項和進階的連接埠的連接埠來橋接的網路擷取及監視。

回此頁最上方

位址資料庫

若要找出並儲存在目標電腦位址:

post-capture 地址集合

  1. 如果網路擷取不可見 (比方說如果您按一下 [停止] 而非 停止並檢視,[擷取] 功能表上或如果擷取的觸發程序是在強制)、 按一下 [擷取] 功能表上的 [顯示擷取資料,或按 F12 鍵以顯示所擷取的資料。
  2. 在 [顯示] 功能表上按一下 尋找全部名稱
  3. 在訊息,指出所擷取的資料中找不到特定數量的名稱上, 按一下 [確定]
  4. 儲存地址資料庫 Saving an Address Database > 一節所述。

儲存位址資料庫

位址資料庫檔案可能會變得不正確,如果目標電腦位址變更的。這可能是因為動態主機設定通訊協定 (DHCP) 租用過期或更換網路介面卡。因此,Microsoft 建議您儲存網路監視器的特定位址資料庫擷取。

將網路監視器 」 中的記憶體位址資料庫儲存到一個.adr 檔案:
  1. 網路監視器 」 中按一下 [擷取] 功能表上的 [地址]。

    附註如果 擷取: n (摘要) 對話方塊開啟時,擷取] 功能表不會出現。
  2. 按一下 [儲存,並在 [檔案名稱] 方塊中輸入描述性的名稱然後按一下 [儲存]。

pre-capture 地址集合: 目標電腦是在網路上

  1. 網路監視器 」 中按一下 [工具] 功能表上的 [從名稱解析地址]。

    附註這個命令才提供使用 Microsoft 「 系統管理伺服器 (SMS) 的網路監視器的版本中可用。
  2. 在 [名稱] 清單中輸入目標電腦的名稱,然後再按一下 [解決]。

    取決於網路和目標電腦組態和可用的名稱解析選項,網路監視器可能列出典型的位址,例如乙太網路、 Tokenring、 IP 及 IPX/XNS,與目標電腦相關聯的。
  3. 按一下 [關閉],然後再儲存位址資料庫。

pre-capture 地址集合: 目標電腦是網路關閉

若要將下列程序中,您必須知道目標位址。 Microsoft 建議使用目標電腦的媒體存取控制 (MAC) 位址。擷取篩選器設定特定通訊協定如 IP,可能會造成網路監視器 」 來略過其他通訊協定流量,例如 XNS IPX /。
  1. 在 [擷取] 功能表上按一下 [地址,然後按一下 [新增]。
  2. 在 [名稱] 方塊中輸入目標電腦的名稱。
  3. 例如在 [網址] 方塊中輸入目標電腦的位址,輸入 192.247.26.40 的 IP 位址。
  4. 在 [類型] 清單中按一下您在 [位址] 方塊中已使用過的地址類型。比方說,請按一下 IP
  5. 按一下 [確定] 將地址新增至 「 網路監視器中的記憶體位址資料庫。
  6. 儲存位址資料庫。
回此頁最上方

擷取篩選器

下列範例說明如何設定數個常見的擷取篩選器。Microsoft 建議將篩選器設定為 [MAC 目標電腦 (如乙太網路位址中) 的位址可能的話。 擷取篩選器設定特定通訊協定如 IP,將會造成網路監視器] 來略過這類的 IPX/XNS 的其他通訊協定流量。

擷取與目標電腦的所有流量

  1. 擷取] 功能表上按一下 [篩選]。
  2. 連按兩下 AND (位址的配對) 節點。
  3. 站台 1 下的 [名稱] 清單中按一下目標電腦想要收集其資料的名稱。
  4. 在 [方向,] 之下按一下 <-->,然後按一下 [確定]

擷取目標的兩部電腦之間的所有資料傳輸

  1. 擷取] 功能表上按一下 [篩選]。
  2. 連按兩下 AND (位址的配對) 節點。
  3. 站台 1 下的 [名稱] 清單中按一下目標電腦想要收集其資料的名稱。
  4. 在 [方向,] 之下按一下 <-->.
  5. 在 [站台 2 下的 [名稱] 清單按一下 [另一台目標電腦想要收集其資料名稱]。
  6. 按一下 [確定],然後再按一下 [確定]

儲存擷取篩選

將網路監視器擷取篩選器儲存到.cf 檔案:
  1. 擷取] 功能表上按一下 [篩選]。
  2. 按一下 [儲存,並在 [檔案名稱] 方塊中輸入描述性的名稱然後按一下 [儲存]。
回此頁最上方

擷取緩衝區

預設情況下,網路監視器 」 可以儲存擷取的最多為 1 GB (GB)。若要變更預設設定的 1 MB,按一下 緩衝區設定 網路監視器 擷取] 功能表上。
  • 請確認緩衝區大小足夠擷取足夠的網路流量。判斷典型的比較基準、 針對工作用戶端設定適當的擷取篩選器,然後執行測試擷取。如果已儲存的擷取緩衝區設定相同的大小就必須讓緩衝區成為較大。一般的規則是由兩個因數增加緩衝區。
  • 確認監視電腦的虛擬記憶體 (分頁檔) 設定可以處理您想要儲存的最大。
回此頁最上方

擷取觸發程序

擷取觸發程序通常會設定的情況下很難避免造成擷取緩衝區滿溢。經常如果,就會發生這個問題任一下列條件皆成立:
  • 您不能可靠地重現的問題您調查藉由使用特定的程序。
  • 您不能有效地協調監視器] 和 [目標電腦上的動作。
  • 您必須擷取大量載入伺服器來回的所有資料傳輸。比方說您必須這樣做可以診斷檔案鎖定違規。
若要設計擷取觸發程序,通常必須衍生自範例封包的取得或設定特定的位移的位元組模式。比方說的 SMB '狀態程式碼系統錯誤' 位移是不同的 NBT (NetBIOS 透過 IP 傳輸) 並直接裝載 SMB (TCP/UPD 連接埠 445)。下列範例示範如何設定停止擷取,當您嘗試連線到現有的伺服器上不存在共用一個擷取觸發程序。這個範例並不包含任何擷取篩選器的詳細資料。

範例錯誤訊息是 WIN32 錯誤代碼 0xC00000CC。錯誤程式碼會顯示在 [SMB 中擷取 '狀態碼系統錯誤 '欄位做為' STATUS_BAD_NETWORK_NAME'。這個錯誤是在 'ntstatus.h' 中定義的。Microsoft 軟體開發套件 (SDK) 包含了此定義。如需詳細資訊請造訪下列 Microsoft 網站]:
http://www.microsoft.com/msdownload/platformsdk/sdkupdate/ (http://www.microsoft.com/msdownload/platformsdk/sdkupdate/)
如需詳細資訊按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
113996? (http://support.microsoft.com/kb/113996/EN-US/ ) 資訊: 將 NT 狀態錯誤代碼對應到 Win32 錯誤代碼
  1. 監視器電腦:
    1. 啟動網路監視器。
    2. 擷取] 功能表上按一下 [觸發程序]。
    3. 觸發程序上的 下, 按一下 [圖樣符合]。
    4. 圖樣,] 下按一下 [從開始的圖文框,然後按一下 [十六進位]。
    5. 在 [位移 (十六進位)] 方塊中,輸入 3f
    6. 在 [圖樣] 方塊中,輸入 cc0000c0

      附註: 「 位元組由小到大位元組模式相當於錯誤 DWORD 0xC00000CC。
    7. 觸發程序動作 下, 按一下 [停止擷取,然後再按一下 [[確定]
    8. 在 [擷取] 功能表上按一下 [開始]。
  2. 在目標電腦:
    1. 按一下 [開始],然後按一下 [執行]。
    2. 在 [開啟舊檔] 方塊鍵入 \ \ servername \ invalid-sharename、 其中 servername 是有效的伺服器名稱,以及其中 invalid-sharename 是不存在共用的名稱。
    3. 按一下 [確定]。在訊息,指出無法找到網路名稱上, 按一下 [確定]
  3. 監視器電腦:
    1. 擷取自動停止。在 [檔案] 功能表上按一下 [另存]。
    2. 檔案名稱] 方塊中鍵入描述性名稱擷取,然後按一下 [儲存]。
回此頁最上方

疑難排解

  • 當您儲存擷取的網路流量使用描述性名稱

    當您儲存網路監視器擷取時, 很有用,若要使用描述性的檔案名稱。例如:
    Computer1_connect_failure_05_dec_2002.adr
    雖然擷取檔包含一天時間的日期可能不明顯或可特別是如果修改檔案驗證。您可能必須在分析期間修改擷取檔案。比方說,配對的伺服器訊息區 (SMB) 用戶端或伺服器的封包取決於 MAC 位址。在用戶端和伺服器電腦之間的路由器可能會混淆 MAC 位址。 「 網路監視器可能不完全剖析在此情況下,例如分散式檔案系統 (DFS) 的轉介回應某些回應。有些版本的網路監視器 」 允許您編輯擷取。如此一來,您可以使用的目標伺服器來取代路由器 MAC 位址。這可讓 [SMB 分成更容易閱讀的表單中的指示封包的剖析器。
  • 請確定時鐘同步之間的電腦

    您必須有許多的診斷程序的事件] 或 [元件偵錯] 和 [網路監視器追蹤問題。若要順利 cross 參考其他記錄檔與網路監視器追蹤,您必須有時鐘同步化電腦之間。
  • 儲存 [IP 位址資訊

    因為 DHCP 租用到期可能會導致 IP 位址變更在用戶端電腦,您必須記錄,或儲存相關的 IP 位址資訊期間網路監視器擷取。
  • 試著在問題發生之前開始擷取

    擷取是必要而且足夠問題的文件的流量。如果要執行這項操作,您必須啟動擷取,讓兩部的目標電腦之間第一個連線和問題行為發生之後再停止之前。比方說與 SMB] 通訊協定檔案作業運作對抗控點。若要知道檔案名稱,您必須擷取檔案開啟 (或建立) 作業。
  • 嘗試擷取 「 成功 」 和 「 失敗 」 的追蹤

    如果您可以擷取的追蹤發生問題,而且它不會。最好擷取這些追蹤對相同的目標電腦。如果您不能這麼做,請試著從最接近的可能設定和網路環境,您可以建立擷取。比方說這兩個目標電腦應該與相同的伺服器通訊,或同一用戶端電腦應該與同樣的設定的伺服器通訊。
  • 文件動作所產生顯著的網路資料傳輸

    文件在目標執行的動作來產生大量網路流量的電腦。比方說在 IP 環境可以簡化使用者活動、 程式活動或批次檔活動擷取交互參考。若要執行這項操作,執行唯一的 IP 位址只是將活動前後然後活動的單次 ping 指令。


回此頁最上方

?考

如需詳細資訊按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中 「 文件]:
810156? (http://support.microsoft.com/kb/810156/ ) 安裝網路監視器之後出現 '找到沒有網路驅動程式' 的錯誤訊息
261327? (http://support.microsoft.com/kb/261327/EN-US/ ) 如何將額外的剖析器新增到網路監視器
164961? (http://support.microsoft.com/kb/164961/EN-US/ ) 網路監視器安裝程式找不到前一版安裝
如其他有關隨附 Windows XP 「 網路監視器擷取公用程式的資訊,按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項:
310875? (http://support.microsoft.com/kb/310875/EN-US/ ) 網路監視器擷取公用程式的說明


回此頁最上方
這篇文章中的資訊適用於:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
回此頁最上方
關鍵字:?
kbmt kbhowtomaster KB812953 KbMtzh
回此頁最上方
機器翻譯機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:812953? (http://support.microsoft.com/kb/812953/en-us/ )
回此頁最上方
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。